| Virusname | Buero |
| Virustyp | Microsoft Word Makro-Virus (dt. Version) |
| Infiziert | Microsoft Word Dokumente (Vorlagen) |
| Größe | 697 Bytes (2 Makros) |
| Symptome | Ab dem 15.8.96:
|
| Reinigung | Viren-Makros aus infizierten Dokumenten löschen (AutoOpen, BüroNeu, DateiSpeichern) |
Buero besteht aus zwei verschlüsselten Makros:
"AutoOpen" (147 Bytes)
"DateiSpeichern" (550 Bytes)
Der Virus infiziert Dokumente beim Aufruf von "Datei speichern"
auf die übliche Methode und wandelt Dokumente in Vorlagen um, wobei in
infizierten Dokumenten "DateiSpeichern" in "BüroNeu"
und innerhalb der infizierten NORMAL.DOT "AutoOpen" in "BüroNeu"
umbenannt wird. Dokumente, in deren Pfad- und Dateinamen das Wort "Dokument"
auftaucht, werden nicht infiziert.
Infizierte Dateien:
"AutoOpen"
"BüroNeu"
Infizierte NORMAL.DOT:
"BüroNeu"
"DateiSpeichern"
Der Virus schaltet zusätzlich die Sicherheitsabfrage von Word bezüglich Veränderungen von NORMAL.DOT ab.
Die Schadensfunktionen werden beim Speichern von Dokumenten aufgerufen, wenn das Systemdatum nach dem 15.8.1996 liegt. Nach diesem Datum benennt der Virus die Systemdatei "C:\IO.SYS" in "C:\IIO.SYS" um und löscht sämtliche "*.DOC"-Dateien, die sich auf dem Laufwerk C: befinden. Eine Verbreitung des Virus nach dem 15.8.96 ist nicht mehr wahrscheinlich, da der Virus beim Aufruf sofort seine Schadensfunktion auslöst.
Analyse 19.8.1996 (c) Stefan Kurtzhals (VIRUS HELP MUNICH)